EA016997B1 - Способ дистанционной аутентификации пользователя в компьютерных сетях для осуществления защищенных транзакций с использованием мобильного телефона - Google Patents
Способ дистанционной аутентификации пользователя в компьютерных сетях для осуществления защищенных транзакций с использованием мобильного телефона Download PDFInfo
- Publication number
- EA016997B1 EA016997B1 EA200900225A EA200900225A EA016997B1 EA 016997 B1 EA016997 B1 EA 016997B1 EA 200900225 A EA200900225 A EA 200900225A EA 200900225 A EA200900225 A EA 200900225A EA 016997 B1 EA016997 B1 EA 016997B1
- Authority
- EA
- Eurasian Patent Office
- Prior art keywords
- user
- banking
- authentication
- mobile
- server
- Prior art date
Links
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
Предлагаемое изобретение относится к средствам для персональной аутентификации пользователей при проведении транзакций, в том числе платежных, с применением компьютерных сетей и сетей мобильной беспроводной связи. Предлагаемый способ обеспечивает дистанционную аутентификацию пользователя в различных компьютерных сетях, в том числе сети Интернет, для осуществления защищенных транзакций, включая электронную коммерцию (e-commerce) и дистанционное банковское обслуживание (on-line banking, remote banking, direct banking, home banking, internet banking, PC banking, phone banking, mobile-banking, WAP-banking, SMS-banking, CSM-banking, TV-banking). Поставленная задача решается за счет использования в процессе аутентификации пользователей существующих широко распространенных аппаратных ключей - SIM-карт мобильных телефонов. Например, в сетях GSM это SIM-карты, а в сетях UMTS это R-UIM карты. Способ аутентификации пользователя в различных компьютерных сетях, в том числе сети Интернет, для подтверждения транзакций реализуется с использованием мобильного телефона, подключенного к сети оператора мобильной сотовой связи (оператора ОМСС), который поддерживает и предоставляет в аренду службу коротких номеров. Отличие предлагаемого способа от известного заключается в том, что администрация веб-сервера предварительно регистрирует и арендует на свое имя у оператора ОМСС как минимум один номер мобильного телефона MSISDN Server или как минимум один короткий номер Short Number Server. Пользователь при регистрации на веб-сервере помимо учетной записи (login) и регистрационного пароля дополнительно сообщает как минимум один личный номер мобильного телефона MSISDN User. При аутентификации пользователя веб-сервер высылает по компьютерной сети пользователю кодовое сообщение, которое пользователь возвращает веб-серверу посредством
Description
Предлагаемое изобретение относится к средствам для персональной аутентификации пользователей при проведении транзакций, в том числе платежных, с применением компьютерных сетей и сетей мобильной беспроводной связи. Предлагаемый способ обеспечивает дистанционную аутентификацию пользователя в различных компьютерных сетях, в том числе сети Интернет, для осуществления защищенных транзакций, включая электронную коммерцию (е-соттегсе) и дистанционное банковское обслуживание (оп-1те Ьапктд, гето!е Ьапктд, 4кес1 Ьапктд, коте Ьапктд, т!ете1 Ьапктд, РС Ьапктд, ркопе Ьапктд, тоЬйе-Ьапктд, У’АР-Ьаикт§, 8М8-Ьапкш§, С8М-Ьапкт§, ТУ-Ьапктд). Поставленная задача решается за счет использования в процессе аутентификации пользователей существующих широко распространенных аппаратных ключей - 81М-карт мобильных телефонов. Например, в сетях О8М это 81М-карты, а в сетях иМТ8 это Κ-υΐΜ карты. Способ аутентификации пользователя в различных компьютерных сетях, в том числе сети Интернет, для подтверждения транзакций реализуется с использованием мобильного телефона, подключенного к сети оператора мобильной сотовой связи (оператора ОМСС), который поддерживает и предоставляет в аренду службу коротких номеров. Отличие предлагаемого способа от известного заключается в том, что администрация веб-сервера предварительно регистрирует и арендует на свое имя у оператора ОМСС как минимум один номер мобильного телефона Μ8Ι8ΏΝ 8егуег или как минимум один короткий номер 8ког1 №тЬег 8егуег. Пользователь при регистрации на веб-сервере помимо учетной записи (1одт) и регистрационного пароля дополнительно сообщает как минимум один личный номер мобильного телефона Μ8Ι8ΏΝ и§ег. При аутентификации пользователя веб-сервер высылает по компьютерной сети пользователю кодовое сообщение, которое пользователь возвращает веб-серверу посредством мобильного телефона с номера Μ8Ι8ΏΝ и§ег на номер Μ8Ι8ΏΝ 8егуег или с номера Μ8Ι8ΏΝ и§ег на короткий номер 8ког1 №тЬег 8егуег. Другими особенностями предлагаемого способа является то, что в сетях стандарта О8М для отправки кодового сообщения пользователь использует 8М8 и/или υ88ϋ сервисы ОМСС; кодовое сообщение веб-сервер обновляет для каждой транзакции; перед возвращением полученного кодового сообщения пользователь его модифицирует, например, с помощью программно-аппаратных средств, таблиц шифрования и личного пароля, заранее полученных от администрации веб-сайта по защищенному от перехвата каналу доставки информации; веб-сервер высылает пользователю, например, на зарегистрированный номер его мобильного телефона Μ8Ι8ΏΝ, е-тай, интернет-пейджер (ΙηδΙ&ηΙ Меззепдег), в режиме реального времени сообщения о начале использования его учетной записи и/или о всех попытках изменения его регистрационного пароля. Технический результат от использования предлагаемого способа заключается в создании простого, высоконадежного и универсального способа многофакторной дистанционной аутентификации пользователей в различных компьютерных сетях, в том числе в сети Интернет, с использованием аппаратных ключей. Использование в качестве аппаратных ключей 8Ш-карт мобильных телефонов позволяет ускорить процесс внедрения предлагаемого способа и значительно снизить затраты на его продвижение, при этом дополнительные затраты пользователей для начала использования предлагаемого способа сводятся к практическому нулю.
016997 Β1
Предлагаемое изобретение относится к способам для персональной аутентификации пользователей при проведении транзакций, в том числе платежных, с применением компьютерных сетей и сетей мобильной беспроводной связи. Способ обеспечивает дистанционную аутентификацию пользователя в различных компьютерных сетях, в том числе сети Интернет, для осуществления защищенных транзакций, включая электронную коммерцию (е-соттегсе) и дистанционное банковское обслуживание (оп-1ше Ьапкшд, тето!е Ьапктд, ййес! Ьапктд, йоте Ьапктд, т1егпе1 Ьапктд, РС Ьапктд, рйопе Ьапктд, тоЫ1еЬапктд, ^ΑΡ-Ьапктд, 8М8-Ьапктд, О8М-Ьапк1пд, ТУ-Ьаикшд). Бурный рост информационных технологий, развитие глобальной сети Интернет и беспроводных мобильных систем связи привели к огромному росту количества киберпреступлений.
Считается, что в 2004 г. киберпреступность заработала 105 млрд долларов США (больше, чем весь наркобизнес). К киберпреступлениям относят несанкционированный доступ и перехват, изменение компьютерных данных, незаконное копирование, компьютерный саботаж, компьютерное мошенничество.
Увеличение количества сетевых информационных и финансовых сервисов, на фоне значительного роста количества киберпреступлений (в среднем в два раза в год), делают задачу надежной дистанционной аутентификации пользователя в компьютерных сетях, в том числе в глобальной сети Интернет, чрезвычайно важной. Считается, что каждая пятая ои-1ше транзакция остается уязвимой для мошенников. Даже использование одноразовых 8М8-паролей, высылаемых на мобильный телефон клиенту, не дает желаемого результата, так как клиенты редко обращают внимание на изменение банковского счета, указанного в 8М8. Подробнее: ййр://йпе№.сот.иа/35894.Ыт1.
Стоит отдельно выделить такой новый вид киберпреступлений, как кража цифровой собственности (Й1дйа1 рторейу). Используя вирусы, специальные программы-шпионы и ложные тееЬ-страницы хакеры воруют персональную информацию пользователей - учетные пользовательские записи (1одш) и регистрационные пароли. Например, таким образом хакеры могут получить доступ и полный контроль над почтовым аккаунтом пользователя, зарегистрированным на одном из публичных портовых порталов (дтай.сот, уайоо.сот, тай.ги) или в глобальной социальной сети (ГасеЬоок.сот, Му8расе.сот, Ойпок1а88шк1.ги). Получив контроль над пользовательским аккаунтом, хакеры могут прочитать личную переписку пользователя, в том числе и с финансовыми организациями, разослать от его имени письма и сообщения, которые могут нанести существенный вред или финансовый урон пользователю. В связи с вышеизложенным способы надежной, достоверной и однозначной аутентификации пользователей в компьютерных сетях становятся все более важными.
Вначале большое распространение получила программная (софтверная) аутентификация, реализованная через процедуру Бодт (1од ίη, 1од оп, ыдшп, ыдп ίη) путем указания имени учетной записи пользователя и его пароля.
Практика показала, что программная аутентификация не может обеспечить нужный уровень информационной безопасности и для создания реально защищенной информационной среды требуется применение специальных средств аутентификации - аппаратных электронных ключей и биометрических датчиков. Были разработаны способы дистанционной аутентификации пользователей без использования аппаратных ключей за счет реализации пассивного режима аутентификации, базирующегося на сборе и анализе электронных идентификационных данных пользователя. Пример такого способа описан в патенте РФ № 2303811 (КИ № 2303811 С1, МПК С06Р 21/22, публ. заявки № 2005134419/09, 2005.11.07.) Специалисты по информационной безопасности считают, что такие способы должны дополнять способы аутентификации с использованием аппаратных ключей, так как они обеспечивают наибольший уровень безопасности.
В связи с этим широкое распространение получили так называемые кеситйу 1океп5 и смарт-карты (йатй^аге Юкеп, аиШепйсайоп 1океп ог стурФдтарЫс Юкеп, щпай сатйз) - специализированные аппаратные ключи, предоставляемые организацией для авторизованных пользователей. Аппаратные ключи имеют специальную архитектуру (специализированные микросхемы с защищенной областью памяти, специальные микроконтроллеры, уникальный ΙΌ-номер, аппаратный генератор случайных чисел и пр.) и используются для генерации криптографических ключей и одноразовых паролей, для организации аутентификации при удаленном доступе к корпоративным сетям, для криптографии потоков информации и для электронно-цифровой подписи документов. Одним из недостатков аппаратных ключей является невозможность использования одного ключа в разных корпоративных средах (сетях), так как при этом увеличивается угроза внешнего проникновения. Для безопасной работы требуется использование одного ключа для одной корпоративной сети. Учитывая многообразие сервисов в глобальной сети Интернет, очевидно, что одному пользователю будет требоваться несколько аппаратных ключей для безопасной работы. Значительная стоимость кеситйу Юкещ так же не способствует их широкому распространению.
Для организации безопасных соединений также широко используются так называемые νΡΝ (англ. У1г1иа1 Рт1уа1е №1\\όγ1< - виртуальная частная сеть) - логические сети, создаваемые поверх другой сети, например 1п1етпе1 или 1п1тапе1. Несмотря на то что коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, за счет шифрования создаются закрытые от посторонних каналы обмена информацией. νΡΝ позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.
- 1 016997
При подключении удаленного пользователя (либо при установке соединения с другой защищенной сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов удаленный пользователь (удаленная сеть) наделяется полномочиями для работы в сети, т.е. происходит процесс авторизации. Организация работы νΡΝ так же может быть программной или программно-аппаратной (за счет использования аппаратных средств). Использование специальных аппаратных средств повышает уровень информационной безопасности.
Известен способ дистанционной аутентификации пользователя, описанный в системе дистанционной аутентификации (патент ЕР № 0986209, МПК Н041 9/32 публ. 15.03.2000). Этот способ заключается в том, что формируют и сохраняют в базе данных сервера аутентификации электронные идентификационные данные пользователя, которые сравнивают с идентификационными данными пользователя при осуществлении процедуры доступа пользователя в компьютерную сеть защищенной системы, и на основе этого сравнения принимается решение о наличии или отсутствии полномочий у пользователя. При этом в качестве электронных идентификационных данных пользователя используют биометрические данные пользователя в виде отпечатков пальцев, ладони и/или информации о сетчатке глаза, данные о которых сохраняются в базе данных сервера аутентификации. Кроме того, обычно сервер аутентификации контролирует также и такие электронные идентификационные данные, как логин и пароль пользователя. Основным недостатком этого способа дистанционной аутентификации пользователя и системы для его осуществления является то, что имеет место активный режим аутентификации, при котором от пользователя к аутентификационному серверу идет значительный поток данных в виде информации об отпечатках пальцев, ладони, сетчатки глаза. А это повышает уязвимость аутентификационного сервера из-за того, что в этот поток злоумышленник может внести неправдивую информацию, в том числе внести какой-нибудь компьютерный вирус. Другим недостатком этого способа и системы для его осуществления является снижение скорости передачи данных от терминала доступа пользователя к серверу аутентификации и сервера приложений за счет того, что имеет место повышенный информационный поток об отпечатках пальцев, ладони, сетчатке глаза пользователя. Недостатком этого способа и системы для его осуществления является необходимость использования, а также высокая стоимость специального оборудования в виде аппаратных узлов по снятию биометрической информации о пользователе, а именно сетчатки глаза, отпечатков пальцев, ладоней и т. п.
Известен способ осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-Ό 8ЕСИКЕ (варианты) и реализующая его система (патент КП № 2301449, МПК С06О 20/00, публ. заявки № 2005118828/09, 2006.12.27). Изобретение относится к средствам для персональной идентификации клиентов при проведении транзакций с применением сетей мобильной связи. В частности, изобретение может использоваться для аутентификации при проведении платежа по банковской карте с использованием мобильного телефона. Техническим результатом от использования заявленных способа и сетей связи финансовых транзакций с гарантией конфиденциальности производимых операций. При осуществлении межбанковской финансовой транзакции в международной платежной системе по протоколу спецификации 3-Ό Несите последовательно выполняются четыре фазы транзакции с условием многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи: инициация операции; генерация и доставка аутентификационного запроса; генерация и доставка ответа на аутентификационный запрос; выполнение операции, генерация и доставка извещения о результатах операции. При выполнении каждой фазы осуществляют передачу сообщений-сигналов между участниками системы с использованием компонентов спецификации 3-Ό 8есите.
Известен способ осуществления платежа, реализуемый системой, содержащей средство для генерации уникального идентификатора денежной суммы в ответ на платеж клиента; средство для передачи вышеуказанного сгенерированного идентификатора на мобильный телефон клиента; средство для хранения вышеуказанного сгенерированного идентификатора в центральном сервере данных; средство для получения идентификатора, переданного с мобильного телефона клиента, причем упомянутый идентификатор содержит информацию о платеже; средство для сравнения по крайней мере части идентификатора по крайней мере с частью сгенерированных идентификаторов и средство для указания вышеуказанного идентификатора (патент ОВ № 2389693, МПК 7 О07Е 19/00, публ. 17.12.2003). Недостатком данного способа и системы является передача идентификатора по открытому каналу связи без дополнительного кодирования.
Известен способ транзакции с помощью мобильного телефона (или иного беспроводного устройства, например КПК), подключенного к услуге \УЛР или ΟΡΡ.8 (заявка XVО 03/047208 А1, МПК 7 Н04Ь 29/06, публ. 05.06.2003). Способ включает в себя следующие этапы: получение информации о сделке посредством мобильного телефона; передача информации о сделке серверу процессинга для проверки возможности осуществления сделки; при получении от сервера процессинга положительного результата проверка возможности осуществления сделки - передача данной информации на мобильный телефон, при этом передача данных осуществляется через сеть Интернет. Недостатком этого аналога является низкая конфиденциальность, поскольку вся информация передается в открытом виде через сеть Интернет.
- 2 016997
Опрос, произведенный английским банком ЛЬЬеу среди 1000 своих клиентов, показал, что только один из трех клиентов (32%) хочет использовать специальные устройства, которые могли бы обеспечить повышенную безопасность сделок в Интернете (см. подробнее ййр://топеупетек.ги/атбс1е.акр?У1ете=15795).
Таким образом, усилия коммерческих банков, которые стремятся сделать онлайн транзакции более безопасными, не находят поддержки среди клиентов банков, которые не хотят приобретать и использовать специальные аппаратные ключи, без которых невозможно существенно повысить безопасность сделок в Интернете.
Обзор существующих способов показал, что существенно повысить безопасность транзакции в Интернете без аппаратных ключей нельзя, а использование специальных аппаратных ключей не поддерживается пользователями.
Наиболее близким аналогом (прототипом) предлагаемого изобретения является Способ осуществления многофакторной строгой аутентификации держателя банковской карты с использованием мобильного телефона в среде мобильной связи при осуществлении межбанковских финансовых транзакций в международной платежной системе по протоколу спецификации 3-Ό 8ЕСИКЕ (варианты) и реализующая его система (патент КИ № 2301449, МПК С06>0 20/00, публ. заявки № 2005118828/09, 2006.12.27).
Описанные варианты способа и система обеспечивают для клиентов мобильных (сотовых) сетей связи удобные и простые в использовании условия осуществления транзакций с гарантией конфиденциальности производимых операций. Требуемый уровень конфиденциальности передаваемых данных обеспечивается за счет того, что при осуществлении транзакций не передают по открытому каналу связи секретные сведения о кредитной карте, а именно код ΡΑΝ, срок действия (Ехр1гу Эа1е) и др. Осуществление транзакций возможно с использованием существующих сетей мобильной (сотовой) связи без применения оператором сотовой связи дополнительного оборудования. Для обеспечения легитимности и безопасности при банковских операциях используются надежные средства аутентификации как неотъемлемая часть политики безопасности. По сравнению с традиционным паролем строгая многофакторная аутентификация в открытой телекоммуникационной сети мобильной сотовой связи стандарта С8М обеспечивает существенно сильную и надежную защиту в сфере информационной безопасности, является простым в использовании способом защиты, при котором другая сторона может однозначно идентифицировать человека, находящегося на противоположном конце электронной операции в открытой телекоммуникационной сети.
Основными недостатками известного способа, взятого в качестве прототипа, являются следующие факторы:
невозможность использования известного способа для аутентификации пользователей для проведения нефинансовых транзакций в компьютерных сетях - узость применения;
возможность перехвата персональной информации, так как клиент (держатель платежной карты) сообщает банку-эмитенту по защищенному от несанкционированного доступа протоколу данные о банковской карте и собственные аутентифицирующие данные, но сам факт передачи данных о банковской карте и собственных аутентифицирующих данных, даже по защищенному каналу связи, потенциально позволяет осуществить их перехват и несанкционированное использование;
необходимость использования специальной компьютерной программы-апплета, записанной на 81Мкарте мобильного телефона клиента; на практике использование такой программы-апплета может потребовать замены стандартной 81М-карты от оператора ОМСС на 81М-карту специального образца, что создает дополнительные административные сложности перед началом использования известного способа.
Задачей предлагаемого технического решения является разработка способа дистанционной аутентификации пользователей в компьютерных сетях для осуществления защищенных транзакций с использованием мобильного телефона.
Поставленная задача решается за счет использования в процессе аутентификации пользователей существующих широко распространенных аппаратных ключей - 81М-карт мобильных телефонов. Например, в сетях С8М это 81М-карты, а в сетях ИМТ8 это К-И1М карты.
Способ аутентификации пользователя в различных компьютерных сетях, в том числе сети Интернет, для подтверждения транзакций реализуется с использованием мобильного телефона, подключенного к сети оператора мобильной сотовой связи (оператора ОМСС), который поддерживает и предоставляет в аренду службу коротких номеров. Отличие предлагаемого способа от известного заключается в том, что администрация веб-сервера (теЬ-кегует) предварительно регистрирует и арендует на свое имя у оператора ОМСС как минимум один номер мобильного телефона М8I8^N 8етует или как минимум один короткий номер 81юг1 №.ппЬег 8етует. Пользователь при регистрации на веб-сервере помимо учетной записи (1одш) и регистрационного пароля дополнительно сообщает как минимум один личный номер мобильного телефона М8I8^N Икет.
При аутентификации пользователя веб-сервер высылает по компьютерной сети пользователю кодовое сообщение, которое пользователь возвращает веб-серверу посредством мобильного телефона с номера М8I8^N Икет на номер М8I8^N 8етует или с номера М8I8^N Икет на короткий номер 81юг1 ШтЬег 8етует.
Другими особенностями предлагаемого способа является то, что в сетях стандарта С8М для от
- 3 016997 правки кодового сообщения пользователь использует 8М8 и/или И88И сервисы ОМСС;
кодовое сообщение веб-сервер обновляет для каждой транзакции;
перед возвращением полученного кодового сообщения пользователь его модифицирует, например, с помощью программно-аппаратных средств, таблиц шифрования и личного пароля, заранее полученных от администрации веб-сайта по защищенному от перехвата каналу доставки информации;
веб-сервер высылает пользователю, например, на зарегистрированный номер его мобильного телефона Μ8Ι8ΌΝ, е-тай, интернет-пейджер (ΙηκΙαηΙ Меккеидег), в режиме реального времени сообщения о начале использования его учетной записи и/или о всех попытках изменения его регистрационного пароля.
Технический результат от использования предлагаемого способа заключается в создании простого, высоконадежного и универсального способа многофакторной дистанционной аутентификации пользователей в различных компьютерных сетях, в том числе в сети Интернет, с использованием аппаратных ключей. Использование в качестве аппаратных ключей δΙΜ-карт мобильных телефонов позволяет ускорить процесс внедрения предлагаемого способа и значительно снизить затраты на его продвижение, при этом дополнительные затраты пользователей для начала использования предлагаемого способа сводятся к практическому нулю.
Осуществление предлагаемого способа иллюстрируется прилагаемой схемой, на которой показаны сеть оператора мобильной связи (оператора ОМСС), оборудование пользователя в виде персонального компьютера и мобильного телефона, компьютерные сети, веб-сервер, администрация которого арендует у оператора ОМСС как минимум один номер мобильного телефона Μ8Ι8ΌΝ 8егуег или как минимум один короткий номер 81юг1 ШшЬег 8егуег.
Рассмотрим реализацию предлагаемого способа на примере стандарта С8М. По данным ассоциации С8МА на стандарт С8М приходится 82% рынка мобильной связи, при этом 29% населения земного шара использует глобальные технологии С8М (роуминг). Общее количество пользователей С8М превышает 2 млрд человек в 212 странах. Подробнее: 1Шр://ги.\у|к|реб1а.огд/\у|к|/С8М.
Система С8М имеет множество особенностей в плане безопасности, которые разработаны, чтобы предоставить абоненту и сетевому оператору больший уровень защиты от мошеннической деятельности.
Механизмы аутентификации гарантируют, что только добросовестным абонентам, обладающим добросовестным оборудованием, т. е. не украденным или нестандартным, будет предоставлен доступ сети. Как только связь была установлена, информация в линии связи передается в зашифрованной форме во избежание подслушивания. Конфиденциальность каждого абонента защищена, гарантирована тем, что его личность и местоположение защищены.
С8М относится к сетям второго поколения (2 Сеиегайои), хотя на 2006 г. условно находится в фазе 2,5С (1С - аналоговая сотовая связь, 2С - цифровая сотовая связь, 3С - широкополосная цифровая сотовая связь, коммутируемая многоцелевыми компьютерными сетями, в том числе Интернет). Система С8М состоит из трех основных подсистем:
подсистема базовых станций (В88 - Ваке 81а1юи 8иЬкук1ет);
подсистема коммутации (N88 - №1\уогк 8уйсЫид 8иЬкук1ет);
центр технического обслуживания (ОМС - Орегайои аиб Маш1еиаисе СеШге).
В отдельный класс оборудования С8М выделены терминальные устройства - подвижные станции (М8 - МоЬНе 81абои), также известные как мобильные (сотовые) телефоны. Для работы в сети оператора мобильной связи каждый мобильный (сотовый) телефон должен быть оснащен 81М-картой.
81М-карта - или 8иЬкспЬег ИеиШу Моби1е - является съемной смарт-картой (ктай сагб), в которой хранится уникальная информация о пользователе и данные телефонной книги. 81М-карта служит подтверждением подлинности абонента в сети и содержит в своей памяти все необходимые данные, связанные с полномочиями конкретного абонента. Чтобы похититель не смог ею воспользоваться, в нее вводят специальный идентификационный номер (ΡΙΝ-код). Использование 81М-карты также удобно тем, что при смене аппарата абоненту не нужно менять свой мобильный номер, он просто переставляет карту и все сохраненные на ней данные, включая записную книжку, становятся доступными для него в новом аппарате.
Каждая 81М-карта оператора ОМСС содержит в себе 1и1егиа1юиа1 МоЫ1е 8иЬкспЬег ИеиШу (1М81) уникальный международный идентификатор абонента, ассоциированный с каждым пользователем мобильной связи стандарта С8М или ИМТ8. При регистрации в сети аппарат абонента передает идентификатор 1М81, по которому происходит его идентификация.
В подсистеме коммутации N88 стандарта С8М существует центр аутентификации (АИСАиШеиЫгсайои СеШге). Здесь производится аутентификация абонента, а точнее - 81М-карты (8иЬкспЬег 1беи!йу Моби1е). Доступ к сети разрешается только после прохождения процедуры проверки подлинности 81М-карты, в процессе которой с ЛИС на М8 (М1Ь11е 81а1юи) приходит открытый ключ, после чего на ЛИС и М8 параллельно происходит шифрование уникального для данной 81М ключа аутентификации при помощи уникального же алгоритма. Затем с М8 и АИС на М8С (МоЫ1е 8уйсЫид Сеи1ег) возвращаются подписанные отклики - 8КЕ8 (8щиеб Векроике), являющиеся результатом данного шифрования. На М8С отклики сравниваются и в случае их совпадения аутентификация считается успешной. Подроб
- 4 016997 нее см.: 1Шр://ги.\у|к|рсб1а.огд/\у|к|/С8М.
Каждому ΙΜδΙ номеру (δΙΜ-карте) однозначно соответствует ΜδΙδΌΝ (МоЫ1е 8ΐαΙίοη 1п1сдга1сб 8егу1се5 ЭщЦа1 №1\уогк) - сопоставленный δΙΜ-карте телефонный номер абонента, предназначенный для совершения и приема вызовов. Главный ΜδΙδΌΝ номер используется для голосовых вызовов и δΜδ сообщений. Фактически ΜδΙδΌΝ номер - это публичный (известный всем) номер мобильного телефона конкретного абонента.
Данные, хранимые на δΙΜ-карте, хорошо защищены с помощью ΡΙΝ и РИК паролей, а так же специальными алгоритмами шифрования. Личный идентификационный номер (ΡΙΝ-код) предназначен для защиты против мошеннического использования украденных δΙΜ-карт. В δΙΜ-карте ΡΙΝ-код имеет вид 48-разрядных десятичных цифр. Пользователь может иметь возможность отключения этого уровня защиты. δΙΜ-карта также может хранить второй 4-8-разрядный десятичный код, известный как ΡΙΝ2, чтобы защитить определенные возможности, которые являются доступными для абонента.
Как только ΡΙΝ-код, и если требуется ΡΙΝ2, введены правильно, объект технической эксплуатации (таш!епапсе епййу) будет иметь доступ к данным, хранимым в δΙΜ-карте. Технические требования также определяют процедуры, которые должны выполняться, когда ΡΙΝ-код введен неправильно. После трех последовательных неправильных попыток набора ΡΙΝ-кода δΙΜ-карта блокируется и дальнейшие попытки ввести ΡΙΝ-код игнорируются, даже если δΙΜ-карта извлечена из объекта технической эксплуатации (тайНепапсе еп(1!1у). δΙΜ-карта может быть разблокирована путем введения 8-разрядного десятичного кода, известного как ΡυΚ, который также хранится в δΙΜ-карте. После 10 неправильных попыток введения ΡυΚ кода, δΙΜ-карта блокируется окончательно.
Таким образом, для начала работы и получения сервиса в сети ΟδΜ пользователь должен предъявить оператору ОМСС документы, удостоверяющие его личность; подписать контракт; получить в использование от оператора ОМСС оригинальную δΙΜ-карту, ΡΙΝ и ΡυΚ пароли к ней.
Подделать δΙΜ-карту, даже сегодня, без физического доступа к ней невозможно. Эти качества позволяют рассматривать δΙΜ-карту как оригинальный и высокозащищенный аппаратный ключ, имеющий закрытую архитектуру и ориентированный на использование в специализированных беспроводных сетях стандарта ΟδΜ. Вход (доступ) в сети ΟδΜ ОМСС без оригинальных δΙΜ-карт от операторов ОМСС физически невозможен. Это позволяет рассматривать номерное адресное пространство всех операторов ОМСС стандартов ΟδΜ и υΜΤδ как аналог защищенной νΡΝ-сети, организованный с помощью программно-аппаратных средств (за счет использования δΙΜ-карт), где каждый адрес (номер ΜδΙδΌΝ мобильного телефона) строго персонализирован индивидуальным или корпоративным (групповым) контрактом с конкретным оператором ОМСС.
Одним из базовых сервисов в стандарте ΟδΜ является δΜδ^τν^ - сервис отправки коротких сообщений (бЬой теББаде БеМсе). δΜδ-сообщение не может быть отправлено инкогнито - δΜδ-сообщение может быть отправлено только с использованием конкретной δΙΜ-карты, полученной от конкретного оператора ОМСС, у которой есть уникальный ΙΜδΙ номер, которому однозначно соответствует единственный ΜδΙδΌΝ номер - публичный номер мобильного телефона. Отправить поддельное δΜδсообщение с другого мобильного телефона без оригинальной δΙΜ-карты невозможно. Незаконное вторжение в номерное адресное пространство операторов ОМСС возможно только путем кражи оригинальной δΙΜ-карты. υδδΌ-сервис, так же являющийся стандартным для ΟδΜ, подобен сервису δΜδ. Разница заключается в том, что υδδΌ сервис не поддерживает хранение передаваемых сообщений, поэтому обмен производится в реальном режиме времени и в рамках υδδΌ-сессии. Но для работы по-прежнему требуется δΙΜ-карта.
Следовательно, если пользователь веб-сервера указывает в регистрационной анкете свой ΜδΙδΌΝ Гбсг номер (публичный номер мобильного телефона), то кодовое сообщение, отправленное пользователем с зарегистрированного номера ΜδΙδΌΝ Гхег через δΜδ-сервер или υδδΌ-сервер в процессе аутентификации, можно рассматривать как сертификат, подтверждающий, что сообщение отправлено именно зарегистрированным пользователем с помощью оригинальной δΙΜ-карты.
Поэтому для аутентификации пользователя веб-сервер высылает по компьютерной сети пользователю кодовое сообщение (см. шаги 1 и 1' в прилагаемой схеме), которое пользователь возвращает вебсерверу посредством мобильного телефона с номера ΜδΙδΌΝ ^ет на номер ΜδΙδΌΝ δе^νе^ или с номера ΜδΙδΌΝ ^ет на короткий номер δΗο^ι МипЬег δе^νе^ (см. шаги 2 и 2' на прилагаемой схеме).
В описываемом способе предлагается использовать вышеперечисленные особенности стандарта ΟδΜ, стандартные сервисы по передаче коротких сообщений (δΜδ^τν^ и υδδΌ^τν^) и δΙΜ-карты для дистанционной аутентификации пользователей в компьютерных сетях, в том числе в сети Интернет.
Предлагаемый способ обеспечивает многофакторную аутентификацию, так как аутентификация будет считаться валидной, а транзакции подтвержденными, если учетная запись (1одш) пользователя совпадает с зарегистрированной учетной записью на данном веб-сервере;
введенный пароль совпадает с регистрационным паролем пользователя;
пользователь использовал правильный ΡΙΝ-код для активации δΙΜ-карты мобильного телефона; на арендованные администрацией веб-сервера у оператора ОМСС номера ΜδΙδΌΝ δе^νе^ или δΐΜΠ
- 5 016997
ЫитЬег §егуег через υδδΌ или δΜδ-центры данного ОМСС в процессе аутентификации в заданный момент времени поступает правильное (корректное) кодовое сообщение, отправленное с зарегистрированного номера мобильного телефона пользователя ΜδΙδΌΝ и§ет; полученное веб-сервером от пользователя кодовое сообщение модернизировано в соответствии с личным паролем и дополнительными средствами шифрования (программно-аппаратными средствами и таблицами шифрования) данного вебсервера.
Предлагаемый способ имеет очень высокозащищенную архитектуру, так как используемые для работы и в процессе аутентификации системы - компьютерные сети, сети операторов ОМСС и используемый в процессе аутентификации мобильный телефон, изолированы друг от друга. Существует так называемый воздушный зазор, который не позволяет злоумышленникам осуществлять перехват или контроль действий пользователя из одной среды в другой. Наличие воздушного зазора не позволит хакерам получить дистанционный контроль над мобильным телефоном пользователя (компьютерные вирусы не могут распространяться по воздуху), что значительно повышает надежность способа и увеличивает доверие пользователей.
Предлагаемый метод создает значительные трудности для хакеров, так как в номерном адресном пространстве операторов ОМСС нельзя сохранить инкогнито - все сообщения должны быть отправлены с конкретного номера мобильного телефона, а сегодня все операторы мобильной связи регистрируют паспортные данные пользователей. Нарушается главный и основной принцип работы хакеров - анонимность. Любые попытки пробить защиту банка или другого сетевого ресурса и подобрать пароль методом перебора неизбежно приведут службу безопасности к владельцу мобильного номера, на которого он зарегистрирован. Использование для атак краденных мобильных телефонов малоэффективно, так как владельцы, как правило, сразу блокируют номер и получают у оператора новую δΙΜ-карту (старая становится неактуальной и мошенники не смогут ее использовать по назначению).
Кроме того, украденный номер может быть использован для попытки взлома только конкретного персонального счета или учетной записи (аккаунта/ассоип!). Подобрать пароль методом перебора с другого мобильного номера невозможно, так как он не связан с целевой учетной записью. Поэтому для атаки хакерам потребуется оригинал δΙΜ-карты, установленной в мобильном телефоне конкретного пользователя. Угадать пароль сразу невозможно, а информационная система будет информировать пользователя и службы безопасности о каждой попытке использования неправильных паролей или ключей. Красть телефон ради каждых 3-5 попыток угадать пароль нецелесообразно. Кроме этого, в информационных сетях ОМСС остаются специальные учетные записи - логи (1од§), которые позволяют определять место выхода мобильного телефона в эфир. Это может существенно помочь правоохранительным органам при поиске злоумышленников. Веб-сервер может дополнительно высылать пользователю сообщения о начале использования его учетной записи - в виде 8М8-сообщений, отправленных на зарегистрированный номер ΜδΙδΌΝ и§ет, в формате электронных писем или с помощью Служб мгновенных сообщений (1пйап1 Меккепдега - таких как 1С.’О. 8куре, ςίρ и других). Это позволит пользователям своевременно реагировать на хакерские атаки и блокировать свою учетную запись от несанкционированного использования, например, путем отправки 8М8-сообщения 8ΤΘΡ на номера ΜδΙδΌΝ 8егует или 8етует 81юг1 МцпЬег что будет соответствовать запрету на использование учетной записи пользователя на 24 ч.
Данный способ позволяет использовать один универсальный аппаратный ключ-ЗГМ-карту мобильного телефона пользователя - вместо нескольких, так как пользователь может использовать разные учетные записи и регистрационные пароли для работы с разными веб-серверами и сетевыми ресурсами. Принципы способа, описанные выше для стандарта С8М, можно применять для сетей СИМА и υΜΤδ.
Использование предлагаемого способа позволит пользователям восстанавливать контроль над утраченной цифровой собственностью даже в случае преднамеренной кражи мобильного телефона. Например, допустим, что злоумышленники узнали и похитили учетную запись пользователя, его пароль на данном веб-сервере и даже его мобильный телефон. Допустим, что они похитили так же и специальные средства шифрования и правила их использования (шифраторы, кодовые таблицы, личный дополнительный пароль и т.д.). Получив все необходимое, они вводят новый пароль, контактный е-таП и, как кажется, получают полный контроль над учетной записью пользователя.
Установив факт хищения своего мобильного телефона пользователь в соответствии с контрактом и инструкциями обращается в абонентский отдел оператора ОМСС и блокирует свой номер от несанкционированного использования. Далее, пользователь обращается к оператору ОМСС, предъявляет документы, удостоверяющие его личность, и получает новую оригинальную δΙΜ-карту, которую оператор ОМСС регистрирует на ранее выданный пользователю номер мобильного телефона ΜδΙδΌΝ и§ет. Используя свою учетную запись (1ощп) и процедуру восстановления пароля, используя новую δΙΜ-карту и зарегистрированный на веб-сервере в момент регистрации номер мобильного телефона ΜδΙδΌΝ и§ет, пользователь легко восстановит контроль над украденной цифровой собственностью.
Большинство пользователей уже обладают необходимыми для начала использования предлагаемого способа умениями и навыками по использованию мобильных телефонов, отправке с их помощью сообщений через δΜδ или υδδΌ центры ОМСС и работе в сети Интернет. Это позволит внедрить способ в минимальные сроки и при минимальных инвестициях.
- 6 016997
Пример 1 - регистрация пользователя на Веб-сайте.
Абонент вводит НКВ-адрес нужного Веб-сайта.
Например: тетете.8есиге_тай_рог1а1.сот
Абонент выбирает опцию Регистрация на сайте, получает от веб-сайта веб-страницу, содержащую анкету регистрации, и вводит следующую информацию:
Введите Ваш Бощп: 1ойи 8тй
Пароль: щбеЛсоок!е_91 е-тай: 1ойп_8тй_1пс@дта11.сот
Номер личного мобильного телефона: +7.701.111-11-11
Получив анкетные данные, веб-сайт сообщает пользователю:
Вы зарегистрировались как: ДоНп 8тй, е-тай - 1ойп_8тй_1пс@дта11.сот пароль: ***************
Для подтверждения регистрации отправьте кодовое сообщение
ΑΚΙλΙ 1928 \\'ΚΙ)8 0101 хЫи на номер +905326129292;
Пользователь отправляет с зарегистрированного номера мобильного телефона +7.701.111-11-11 сообщение ΑΚΌ1_1928_№ΚΌ8_0101_хЬби на номер веб-сервера +905326129292.
Получив сообщение от пользователя, веб-сервер проверяет номер отправителя, и если он соответствует номеру +7.701.111-11-11, то веб-сервер отправляет пользователю сообщение: Регистрация Завершена. Ваш аккаунт зарегистрирован. Инструкции по использованию высланы на Ваш почтовый ящик, и завершает процедуру регистрации.
Пример 2 - подтверждение платежной транзакции.
Пользователь вводит в строке веб-браузера иВЬ своего банка.
Например:
\у\у\у.5есиге_Ьапкйщ_ДоЬа1.со1п
Выбирает опцию Ввести платежные инструкции и осуществляет их ввод.
Веб-сервер, получив от пользователя платежные инструкции, начинает процедуру аутентификации пользователя и высылает пользователю кодовое сообщение (1) по компьютерной сети:
Вы ввели следующие платежные поручения:
<Текст и детали введенных платежных поручений>
Для подтверждения платежей отправьте кодовое сообщение: 132-298-192-ΡΒΙ на номер +7.777.77777-77
Пользователь отправляет полученное через компьютерную сеть кодовое сообщение 132-298-192ΡΒΙ с личного номера мобильного телефона +7.701.111-11-11 на мобильный номер веб-сервера +7.777.777-77-77.
Веб-сервер получает кодовое сообщение, проверяет его на соответствие и проверяет номер отправителя.
Если номер отправителя соответствует зарегистрированному номеру +7.701.111-11-11 пользователя 1о1т 8тй, то веб-сервер высылает пользователю по компьютерной сети сообщение:
Ваше подтверждение получено. Платежные поручения приняты к исполнению.
Пример 3 - изменение анкетных данных пользователя на веб-сервере.
Пользователь вводит Потаю Ыате веб-сервера:
\\л\лт.5есиге_таП_рог1а1. сот и выбирает опцию - сменить почтовый адрес и пароль.
Веб-сервер высылает Пользователю сообщение:
Вы хотите изменить анкетные данные. Для продолжения отправьте код 023+10110392 на короткий номер #1234.
Пользователь набирает на клавиатуре мобильного телефона комбинацию:
*1234#023+10110392#- <Ввод>
Используя υδδΌ-сервер ОМСС, кодовое сообщение будет доставлено на короткий номер #1234, зарегистрированное на имя веб-сервера \у\у\у.5есиге_таП_рог1а1.сот.
Если кодовое сообщение соответствует отправленному и номер отправителя соответствует номеру +7.701.111-11-11, веб-сервер продолжит процедуру изменения анкетных данных - всех, кроме персонального номера мобильного телефона.
Если номер отправителя не соответствует анкетным данным, веб-сервер отправляет 8М8сообщение на зарегистрированный номер мобильного телефона пользователя +7.701.111-11-11:
Ваши анкетные данные пытались изменить. Для этого использовался следующий ΙΡ адрес:
Пример 4 - восстановление контроля над украденной цифровой собственностью.
Допустим, что злоумышленники украли у пользователя его мобильный телефон и, используя его, ввели изменения в анкетные данные пользователя. В соответствии с политикой веб-сайта они смогли изменить все данные, кроме Ьодт и номера мобильного телефона, введя новый пароль и е-шай.
Обнаружив пропажу, пользователь информирует своего оператора ОМСС и блокирует использова
- 7 016997 ние утерянной δΙΜ-карты. Посетив офис оператора ОМСС и предъявив документы, удостоверяющие личность, пользователь получает от оператора ОМСС новую δΙΜ-карту и активирует ее, используя старый номер мобильного телефона.
Пользователь вводит ИКЬ-адрес веб-сайта, например:
\у\у\т.5Ссигс_таП_рог1а1. сот и выбирает опцию Восстановление утерянного пароля.
Веб-сервер активирует процедуру аутентификации, высылает пользователю кодовое сообщение: КИ18-2бки-ибРб-2093 и просит переслать его на номер +7.777.777-77-77:
Пользователь, используя специальный личный пароль, полученный во время подписания контракта, отправляет на номер +7.777.777-77-77 веб-сайта модернизированное сообщение: КИ18-2бки-ибРб2093+9873
Веб-сервер проверяет номер отправителя и содержание модернизированного кодового сообщения.
Если они соответствуют анкетным данным и специальному личному паролю, то веб-сервер предлагает пользователю продолжить процедуру редактирования анкетных данных.
Пользователь вводит обновленный пароль, е-таб и подтверждает произведенные изменения с помощью своего мобильного телефона. Таким образом, пользователь смог вернуть контроль над утерянной цифровой собственностью.
Используемая терминология.
Аутентификация - (англ. АиШеийсабои) или подтверждение подлинности - процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае - с помощью имени и пароля.
Абонент (от французского абоииег - подписываться) - физическое или юридическое лицо, заключившее договор с оператором на оказание услуг связи, с выделением ему уникального способа доступа к услугам связи (в сотовой связи - абонентского номера или уникального кода идентификации).
Аппаратный ключ - это устройство, в основе которого лежит специальная микросхема А81С (Аррбсабои 8ресШс 1и1едга1еб Сбсий) с уникальным для каждого ключа алгоритмом работы, заключенная в корпус и имеющая все необходимое для передачи данных через один из портов компьютера (ЬРТ, СОМ, И8В, РС1). Аппаратный ключ имеет очень низкое энергопотребление, в результате чего его можно подключать к информационным портам без дополнительного питания.
Авторизация (англ. ЛиЙюп/абоп) - процесс, а также результат процесса проверки необходимых параметров и предоставление определенных полномочий лицу или группе лиц (прав доступа) на выполнение некоторых действий в различных системах с ограниченным доступом.
Апплет (англ. арр1е1 от аррбсабоп - приложение и -1е1 - уменьшительный суффикс) - это несамостоятельный компонент программного обеспечения, работающий в контексте другого, полновесного приложения, предназначенный для одной узкой задачи и не имеющий ценности в отрыве от базового приложения.
Банковская карта - пластиковая карта, привязанная к лицевому счету одного из банков. Используются для платежей, в том числе через Интернет.
Биометрия (англ. Вютебтск) - технология идентификации личности, использующая физиологические параметры субъекта (отпечатки пальцев, радужная оболочка глаза и т.д.). Обычно при классификации биометрических технологий выделяют две группы систем по типу используемых биометрических параметров.
Первая группа систем использует статические биометрические параметры: отпечатки пальцев, геометрия руки, сетчатка глаза и т. п. Вторая группа систем использует для идентификации динамические параметры: динамика воспроизведения подписи или рукописного ключевого слова, голос и т.п. Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многие государства в ближайшей перспективе планируют ввести в обращение паспорта с биометрическими данными.
Дистанционное банковское обслуживание (ДБО) - общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом (т.е. без его визита в банк), чаще всего с использованием компьютерных сетей. В английском языке для описания технологий ДБО используются различные в ряде случаев пересекающиеся по значению термины: оп-бпе Ьапкшд, тето!е Ьапктд, бпес! Ьапктд, боте Ьапктд, б11егпе1 Ьапктд, РС Ьапктд, рбопе Ьапкшд, тоббеЬапкшд, \УЛР-Ьапкбщ. 8М8-Ьапкшд, С8М-Ьапкбщ. ТУ-Ьапкбщ.
Идентификация - в компьютерной безопасности процесс сообщения субъектом своего имени или номера с целью отличить данный субъект от других субъектов. Например, одна из типичных систем идентификации - штрихкод.
Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. В качестве стандартной модели безопасности часто приводят модель С1А: конфиденциальность (англ. Сопйбеиба1йу); целостность (1п1едтйу); доступность (ауабаЬбйу).
Под конфиденциальностью понимается доступность информации только определенному кругу лиц,
- 8 016997 под целостностью - гарантия существования информации в исходном виде, под доступностью - возможность получение информации авторизованным пользователем в нужное для него время. Выделяют и другие категории: аутентичность - возможность установления автора информации; апеллируемость - возможность доказать, что автором является именно заявленный человек и никто другой.
Компьютерная сеть (вычислительная сеть, сеть передачи данных) - система связи между двумя или более компьютерами. Для передачи информации могут быть использованы различные физические явления, как правило различные виды электрических сигналов или электромагнитного излучения.
Киберпреступления - преступления, совершаемые преступниками в киберпространстве. К ним относят несанкционированный доступ и перехват; изменение компьютерных данных; незаконное копирование; компьютерный саботаж; компьютерное мошенничество, в том числе
РЕС- компьютерные мошенничества, связанные с хищением денег из банкоматов;
РЕЕ - компьютерные подделки: мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и пр.);
РЕО - мошенничества и хищения, связанные с игровыми автоматами;
РЕМ - манипуляции с программами ввода-вывода: мошенничества и хищения посредством неверного ввода или вывода в компьютерные системы или из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод подмены данных кода (ба!а 616611ид собе сйапде), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ;
РЕР - компьютерные мошенничества и хищения, связанные с платежными средствами. К этому виду относятся самые распространенные компьютерные преступления, связанные с кражей денежных средств, которые составляют около 45% всех преступлений, связанных с использованием ЭВМ;
РЕТ - телефонное мошенничество: доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы.
Логин (1одт, 1од ίη, 1од оп, мдшп, мдп ίη) - процедура аутентификации пользователя в компьютерной системе, как правило, путем указания имени учетной записи и пароля.
Мобильный телефон - мобильное коммуникационное устройство, предназначенное преимущественно для голосового общения. Технологическую основу мобильной связи составляет радиосвязь.
В настоящее время сотовая связь самая распространенная из всех видов мобильной связи, поэтому обычно мобильным телефоном называют сотовый телефон, хотя мобильными телефонами помимо сотовых являются также спутниковые телефоны, радиотелефоны и аппараты магистральной связи.
Мобильная радиосвязь - это радиосвязь между абонентами, местоположение одного или нескольких из которых меняется.
ОМСС - оператор мобильной сотовой связи.
Онлайн (англ. опйпе, от англ. оп 1ше - русск. на линии) - находящийся в состоянии подключения. Первоначально использовалось только в отношении коммуникационного оборудования для указания на режим связи. В отношении ПО почти всегда означает подключенный к Интернету или функционирующий только при подключении к Интернету.
Также - происходящее в Интернете, существующее в Интернете. К примеру онлайн-банкинг, онлайн-магазин, онлайн-казино, онлайн-игра. В этих значениях часто употребляется также прилагательное онлайновый.
Пароль (фр. раго1е - слово, англ. рак^отб) - это идентификатор субъекта доступа, который является его (субъекта) секретом. Обычно пароль, это секретная комбинация цифр, знаков, слов или осмысленное предложение, служащие для опознавания друг другом людей или для защиты информации от несанкционированного доступа средствами авторизации. Комбинация логин/пароль в рамках многих систем безопасности является достаточной для идентификации пользователя.
Радиосвязь - разновидность связи, при которой в качестве носителя сигнала используются радиоволны, свободно распространяемые в пространстве.
Смарт-карты - пластиковые карты со встроенной микросхемой (1СС, 1Шедга(еб сДсийр) сагб - карта с интегрированными электронными схемами). Однако смарт-карты представляют собой более сложное устройство, содержащее микропроцессор, операционную систему, контролирующую устройство, и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления. Назначение смарт-карт - одно- и двух-факторная аутентификация пользователей, хранение ключевой информации и проведение криптографических операций в доверенной среде. Смарт-карты находят все более широкое применение в различных областях, от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов, телефонов стандарта О8М и проездных билетов.
Сотовая связь - один из видов мобильной радиосвязи, в основе которого лежит сотовая сеть. Ключевая особенность заключается в том, что общая зона покрытия делится на ячейки (соты), определяющиеся зонами покрытия отдельных базовых станций (БС). Соты частично перекрываются и вместе образуют сеть. На идеальной (ровной и без застройки) поверхности зона покрытия одной БС представляет собой круг, поэтому составленная из них сеть имеет вид сот с шестиугольными ячейками (сотами). При
- 9 016997 мечательно, что в английском варианте связь называется ячеистой или клеточной (се11и1аг), что не учитывает шестиугольности сот. Сеть составляют разнесенные в пространстве приемопередатчики, работающие в одном и том же частотном диапазоне, и коммутирующее оборудование, позволяющее определять текущее местоположение подвижных абонентов и обеспечивать непрерывность связи при перемещении абонента из зоны действия одного приемопередатчика в зону действия другого.
Социальная сеть (англ. кос1а1 пеЕтогк) - социальная структура (математически - граф), состоящая из группы узлов, которыми являются социальные объекты (люди или организации), и связей между ними (социальных взаимоотношений).
Транзакция (англ. йапкасбоп) - в информатике, группа последовательных операций, которая представляет собой логическую единицу работы с данными. Транзакция может быть выполнена целиком либо успешно, соблюдая целостность данных и независимо от параллельно идущих других транзакций, либо не выполнена вообще и тогда она не должна произвести никакого эффекта. Транзакции обрабатываются транзакционными системами, в процессе работы которых создается история транзакций.
Учетная запись - запись, содержащая сведения, которые пользователь сообщает о себе некоторой компьютерной системе.
Как синонимы в обиходе могут использоваться сленговые термины аккаунт и эккаунт, от англ. ассоиЩ - учетная запись, личный счет, (редко) бюджет. Также иногда ошибочно используется термин логин.
Хакер - компьютерный злоумышленник. Этим термином называют сетевых взломщиков и других сетевых преступников, таких как кардеры, крякеры, скрипт-кидди и сетевые пираты;
СЭМА (Собе Όίνίδίοη Ми1йр1е Ассекк) - глобальный цифровой стандарт для мобильной сотовой связи с множественным доступом с кодовым разделением. Каналы трафика при таком способе разделения среды создаются присвоением каждому пользователю отдельного числового кода, который распространяется по всей ширине полосы. Нет временного разделения, все абоненты постоянно используют всю ширину канала. Полоса частот одного канала очень широка, вещание абонентов накладывается друг на друга но, поскольку их коды отличаются, они могут быть дифференцированы. Технология множественного доступа с кодовым разделением каналов известна давно. В СССР первая работа, посвященная этой теме, была опубликована еще в 1935 году ее автором Д.В. Агеевым. После войны в течение долгого времени технология СЭМА использовалась в военных системах связи как в СССР, так и в США. Во второй половине 80-х годов военное ведомство США рассекретило данную технологию и началось ее использование в гражданских средствах связи. Способ применяется в сотовой связи (в России, например, оператором 8ку11пк) и в спутниковой навигации (СР8).
С8М (от названия группы Стоире 8рес1а1 МоЫ1е, позже переименован в С1оЬа1 8ук1ет ίοτ МоЫ1е Соттишсайопк) (русск. СПС-900) - глобальный цифровой стандарт для мобильной сотовой связи с разделением канала по принципу ТОМА и высокой степенью безопасности благодаря шифрованию с открытым ключом.
Разработан под эгидой Европейского института стандартизации электросвязи (ЕТ81) в конце 80-х годов.
1п1тапе1 (Интранет), в отличие от сети 1п1етпе1 (Интернет), - это внутренняя частная сеть организации. Как правило, Интранет - это Интернет в миниатюре, который построен на использовании протокола 1Р для обмена и совместного использования некоторой части информации внутри этой организации. Это могут быть списки сотрудников, списки телефонов партнеров и заказчиков. Чаще всего под этим термином имеют в виду только видимую часть Интранет - внутренний веб-сайт организации. Основанный на базовых протоколах НТТР и НТТР8 и организованный по принципу клиент-сервер, интранет-сайт доступен с любого компьютера через браузер - МохШа ЕйеГох, Мктокой 1п1етпе1 Ехр1огег, Орега, МохШа и другие. Таким образом, Интранет - это как бы частный Интернет, ограниченный виртуальным пространством отдельно взятой организации. Термин впервые появился 19 апреля 1995 г. в ОщНа1 Ие\\ъ & Ве\'к\у в статье, автором которой являлся технический редактор Стивен Лотон (81ерйеп Ьает1оп).
1п1етпе1 (Интернет) (1п1етсопнес1еб ИеЕтогкк - соединенные сети [интэрнэт]) - всемирная система добровольно объединенных компьютерных сетей, построенная на использовании протокола 1Р и маршрутизации пакетов данных. Интернет образует всемирную (единую) информационную среду - обитель оцифрованной информации. Служит физической основой для Всемирной паутины (Всемирная сеть, Глобальная сеть). Известен также жаргонизм Инет.
М818ОИ (МоЬйе 81а1юп 1п1едтакб 8ег\асек О1дйа1 ИеЕтогк) - международный номер подвижной ΙδΟΝ-станции, сопоставленный 81М-карте телефонный номер абонента, предназначенный для совершения и приема вызовов. Главный М818ЭИ номер используется для голосовых вызовов и 8М8 сообщений.
Возможно также сопоставить 81М-карте другой, дополнительный М818ИИ для работы с факсимильной связью и передачи данных.
Р1И-код (англ. Регкопа1 1бепййсайоп ИитЬег - личный опознавательный номер) - аналог пароля. Предусматривается для кредитных и подобных карт (например, сим-карт), с помощью которого производится подтверждение владельца карты. Р1И-код должен знать только владелец карты. Обычно предусмотрено ограничение попыток правильного ввода (в основном не больше 3-х), после чего карта блоки
- 10 016997 руется для использования.
РиК-код (англ. Рег8оиа1 ип1оск Кеу) - персональный код разблокировки 81М-карты.
81М-карта (от англ. 8иЬ5СГ1Ьег Иепййсайоп Моби1е) - идентификационный модуль абонента, применяемый в мобильной связи. 81М-карты применяются преимущественно в сетях С8М. Сети 3С, новое поколение мобильных сетей, базирующееся на принципах 08М, также имеет свою карточку идентификации, называемую И81М в случае ИМТ8. Карточки абонента также иногда применяются в сетях типа СЭМА/ТЭМА. Так в сетях СЭМА2000 применяется так называемая К.-И1М карта, выполняющая почти те же функции, что и 81М.
8М8 (англ. 81ой Менаде 8егуюе - служба коротких сообщений) - это система, позволяющая посылать и принимать текстовые сообщения при помощи сотового телефона.
υδδΌ (ипЧгисШгеб 8ирр1етеи1агу 8егу1се Эа1а) - стандартный сервис в сетях 08М, позволяющий организовать интерактивное взаимодействие между абонентом сети и сервисным приложением в режиме передачи коротких сообщений.
νΡΝ (англ. У|г1иа1 Рпуа1е №1\\όγ1< - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счет шифрования создаются закрытые от посторонних каналы обмена информацией. νΡΝ позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.
Claims (6)
- ФОРМУЛА ИЗОБРЕТЕНИЯ1. Способ аутентификации пользователя в различных компьютерных сетях, в том числе сети Интернет, для подтверждения транзакций с использованием мобильного телефона, подключенного к сети оператора мобильной сотовой связи (оператора ОМСС), который поддерживает и предоставляет в аренду службу коротких номеров, отличающийся тем, что администрация веб-сервера (теЬ-кегуег) предварительно регистрирует и арендует на свое имя у оператора ОМСС как минимум один номер мобильного телефона М8I8^N 8егуег или как минимум один короткий номер 81ой ШтЬег 8егуег, пользователь при регистрации на веб-сервере помимо учетной записи (1одш) и регистрационного пароля дополнительно сообщает как минимум один личный номер мобильного телефона М8I8^N и§ег, а при аутентификации пользователя веб-сервер высылает по компьютерной сети пользователю кодовое сообщение, которое пользователь возвращает веб-серверу посредством мобильного телефона с номера М8I8^N и§ег на номер М8I8^N 8егуег или с номера М8I8^N и§ег на короткий номер 81ой ШтЬег 8егуег.
- 2. Способ по п.1, отличающийся тем, что при аутентификации пользователя ктай-карту, полученную пользователем у оператора ОМСС и размещенную в мобильном телефоне, используют в качестве аппаратного ключа.
- 3. Способ по п.1, отличающийся тем, что в сетях стандарта С8М для отправки кодового сообщения пользователь использует 8М8 и/или υδδΌ сервисы ОМСС.
- 4. Способ по п.1, отличающийся тем, что кодовое сообщение веб-сервер обновляет для каждой транзакции.
- 5. Способ по п.1, отличающийся тем, что перед возвращением полученного кодового сообщения пользователь его модифицирует, например, с помощью программно-аппаратных средств, таблиц шифрования и личного пароля, заранее полученных от администрации веб-сайта по защищенному от перехвата каналу доставки информации.
- 6. Способ по п.1, отличающийся тем, что веб-сервер высылает пользователю, например, на зарегистрированный номер его мобильного телефона М818ОУ е-таП, интернет-пейджер (Iпк(ап( Меккепдег) в режиме реального времени сообщения о начале использования его учетной записи и/или о всех попытках изменения его регистрационного пароля.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KZ20080564 | 2008-05-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
EA200900225A1 EA200900225A1 (ru) | 2009-12-30 |
EA016997B1 true EA016997B1 (ru) | 2012-09-28 |
Family
ID=41563140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EA200900225A EA016997B1 (ru) | 2008-05-14 | 2009-01-14 | Способ дистанционной аутентификации пользователя в компьютерных сетях для осуществления защищенных транзакций с использованием мобильного телефона |
Country Status (1)
Country | Link |
---|---|
EA (1) | EA016997B1 (ru) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2608187C2 (ru) * | 2014-10-31 | 2017-01-17 | Сяоми Инк. | Способ и устройство верификации терминала |
US10019604B2 (en) | 2014-10-31 | 2018-07-10 | Xiaomi Inc. | Method and apparatus of verifying terminal and medium |
RU2730475C1 (ru) * | 2020-03-17 | 2020-08-24 | Александра Михайловна Кулешова | Сетевая система распределения информационного материала носителям средств демонстрации этого материала |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130139222A1 (en) * | 2011-11-29 | 2013-05-30 | Rawllin International Inc. | Authentication of mobile device |
RU2587423C2 (ru) * | 2013-09-26 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения безопасности онлайн-транзакций |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999014711A2 (en) * | 1997-09-17 | 1999-03-25 | Andrasev Akos | Method for checking rightful use of a debit card or similar means giving right of disposing of a bank account |
WO2001035685A1 (en) * | 1999-11-09 | 2001-05-17 | Orange A/S | System for electronic delivery of a personal identification code |
US20070220275A1 (en) * | 2006-02-14 | 2007-09-20 | Snapvine, Inc. | WEB AUTHORIZATION BY AUTOMATED INTERACTIVE PHONE OR VoIP SESSION |
RU2321060C1 (ru) * | 2006-09-05 | 2008-03-27 | Игорь Леонидович Шустерман | Способ осуществления платежей пользователями мобильной сотовой связи |
-
2009
- 2009-01-14 EA EA200900225A patent/EA016997B1/ru not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999014711A2 (en) * | 1997-09-17 | 1999-03-25 | Andrasev Akos | Method for checking rightful use of a debit card or similar means giving right of disposing of a bank account |
WO2001035685A1 (en) * | 1999-11-09 | 2001-05-17 | Orange A/S | System for electronic delivery of a personal identification code |
US20070220275A1 (en) * | 2006-02-14 | 2007-09-20 | Snapvine, Inc. | WEB AUTHORIZATION BY AUTOMATED INTERACTIVE PHONE OR VoIP SESSION |
RU2321060C1 (ru) * | 2006-09-05 | 2008-03-27 | Игорь Леонидович Шустерман | Способ осуществления платежей пользователями мобильной сотовой связи |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2608187C2 (ru) * | 2014-10-31 | 2017-01-17 | Сяоми Инк. | Способ и устройство верификации терминала |
US10019604B2 (en) | 2014-10-31 | 2018-07-10 | Xiaomi Inc. | Method and apparatus of verifying terminal and medium |
RU2730475C1 (ru) * | 2020-03-17 | 2020-08-24 | Александра Михайловна Кулешова | Сетевая система распределения информационного материала носителям средств демонстрации этого материала |
Also Published As
Publication number | Publication date |
---|---|
EA200900225A1 (ru) | 2009-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11832099B2 (en) | System and method of notifying mobile devices to complete transactions | |
US8578457B2 (en) | Process of remote user authentication in computer networks to perform the cellphone-assisted secure transactions | |
US20210110061A1 (en) | Secure access to physical and digital assets using authentication key | |
Wazid et al. | Mobile banking: evolution and threats: malware threats and security solutions | |
CN108012268B (zh) | 一种保证应用软件在手机终端上安全使用的sim卡 | |
US11132694B2 (en) | Authentication of mobile device for secure transaction | |
EP2368339B1 (en) | Secure transaction authentication | |
US8132243B2 (en) | Extended one-time password method and apparatus | |
Hammood et al. | A review of user authentication model for online banking system based on mobile IMEI number | |
Mohsin et al. | Two factor vs multi-factor, an authentication battle in mobile cloud computing environments | |
Mtaho | Improving mobile money security with two-factor authentication | |
CN106911722A (zh) | 一种智能密码签名身份鉴别双向认证方法及系统 | |
EA016997B1 (ru) | Способ дистанционной аутентификации пользователя в компьютерных сетях для осуществления защищенных транзакций с использованием мобильного телефона | |
US20120290483A1 (en) | Methods, systems and nodes for authorizing a securized exchange between a user and a provider site | |
US20220407693A1 (en) | Method and device for secure communication | |
CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
US20080040784A1 (en) | Procedure and Multi-Key Card to Avoid Internet Fraud | |
KR20230099049A (ko) | 블록체인 기반 인증 및 거래 시스템 | |
Khu-Smith et al. | Enhancing e-commerce security using GSM authentication | |
Hari et al. | Enhancing security of one time passwords in online banking systems | |
US20040015688A1 (en) | Interactive authentication process | |
KR100657577B1 (ko) | 사용자정보집합을 이용한 인증 시스템 및 방법 | |
Gualdoni et al. | Multi-layer defense model for securing online financial transactions | |
Anoh et al. | Multi-factor authentication system for securing mobile money transactions using mobile money services in Ivory Coast | |
Rafat | Anonymity preserving secure authentication for a transparent internet voting process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s) |
Designated state(s): AM AZ BY MD TJ TM |